Programação para Internet

Documentos relacionados
C A P I T U L O 10 F U N Ç Õ E S I N T E R N A S P H P P A R A B A N C O D E D A D O S

INTRODUÇÃO. No entanto, o que pode ser considerado um produto (resultado) da criação de BDs?

UFSM COLÉGIO AGRÍCOLA DE FREDERICO WESTPHALEN CURSO SUPERIOR DE TECNOLOGIA EM SISTEMAS PARA INTERNET. Programação para Internet I

Lidando com Armazenamento de Dados

GUIA PHP com MYSQL Autor: Everton Mendes Messias

INSTITUTO FEDERAL DE EDUCAÇÃO, CIÊNCIA E TECNOLOGIA DO RIO GRANDE DO NORTE INTRODUÇÃO A SQL

FTIN FORMAÇÃO TÉCNICA EM INFORMÁTICA. Módulo de Programação Prof. Bruno Maciel

PROGRAMAÇÃO PARA DISPOSITIVOS MÓVEIS ARMAZENAMENTO EM BD NO DM. Prof. Angelo Augusto Frozza, M.Sc.

22/05/2012 CRIANDO UM PROJETO COM TELAS ESTRUTURA DA APLICAÇÃO LOGIN BANCO DE DADOS TAREFAS PHP MYSQL PARTE 2

Construindo um sistema simples de cadastro de fornecedores em PHP e MySQL.

Programando em SQL. Triggers, Stored Procedures e funções. Profa. Késsia Marchi

PROGRAMAÇÃO PARA DISPOSITIVOS MÓVEIS ARMAZENAMENTO EM BD NO DM. Prof. Angelo Augusto Frozza, M.Sc.

Passos Preliminares: Acessando a máquina virtual via ssh.

A linguagem SQL

Programação WEB II. PHP e Banco de Dados. progweb2@thiagomiranda.net. Thiago Miranda dos Santos Souza

Programação Web Prof. Wladimir

Recursos avançados e Orientação a Objetos no PHP

Cadastros de dados no MySQL

Programação Orientada a Objetos JDBC Java Database Connectivity

SISTEMA GERENCIAMENTO DE PRODUTOS PHP E MySQL 1. APRESENTAÇÃO

Bool setcookie (string nome [, string valor [, int validade [, string caminho [, string dominio [, int seguro]]]]] )

Integrando Java com Banco de Dados

Coletando dados utilizando a API do Zabbix com PHP e JSON

Bases de Dados. Lab 1: Introdução ao ambiente. Figura 1. Base de dados de exemplo

PHP INTEGRAÇÃO COM MYSQL PARTE 1

Banco de Dados SQL injection

Personal Home Page PHP. Prof. Luiz Claudio F. de Souza

Desenvolvimento de Sistemas Web Prof. Leandro Roberto. Aula 18 JavaScript: Eventos MySQL PHP (insert, update e delete)

Internet e Programação Web

PHP INTEGRAÇÃO COM MYSQL PARTE 2

FTIN FORMAÇÃO TÉCNICA EM INFORMÁTICA. Módulo de Programação Prof. Flávio Dantas

Transações Seguras em Bancos de Dados (MySQL)

AULA 8. Ambientes Visuais 8.1. OBJETIVO DA AULA SQL (Structured Query Language)

Interagindo com Banco de Dados

Desenvolvimento de Aplicações para Internet Aula 9

Database and Applications. Criação, inserção de dados PHP+MySQL

Programação web Prof. Wladimir

ANEXO 2: Usando o banco de dados Arquivo : tela_login.html Código Tela Arquivo : login.php... 10

6. Introdução à Linguagem PHP

C# - Conexão com MySQL

Leonardo Gresta Paulino Murta

Introdução à Banco de Dados em Delphi:

BANCO DE DADOS. info 3º ano. Prof. Diemesleno Souza Carvalho

PHP e MySQL Autenticação de Usuários

Benvindo ao Curso de Introdução ao Firebird com Ferramenta de Relatórios!

MySQL + PHP 06/05/2015. IFSC/campus Florianópolis Programação para a WEB Prof. Herval Daminelli

TECNOLOGIA WEG II PHP com SGBD MYSQL

SQL Linguagem de Definição de Dados. Banco de Dados Profa. Dra. Cristina Dutra de Aguiar Ciferri

Relatório. Projecto de Base de Dados Parte 2. Turno: quinta-feira, 11:30 Grupo 25: André Gonçalves Rui Barradas Hélton Miranda 68477

PROGRAMAÇÃO ORIENTADA A OBJETOS. Aula 09a- Acessando os dados através JDBC

Linguagem SQL Restrições, Triggers e Views

PROGRAMAÇÃO EM BANCO DADOS Stored Procedure e Trigger

Curso PHP Aula 08. Bruno Falcão

UFG - Instituto de Informática

Marcos Alexandruk Marcos Alexandruk

Java & Bancos de Dados Adaptado de Slides da Universidade Salgado de Oliveira Goiânia

Programação com Acesso a Banco de Dados

Lista 02 Sistema de Banco de Dados CAP 241 Computação Aplicada I

Banco de Dados. -Aprendendo conceitos -Usando o SQL Conf para: -Conectar no banco de dados -Criar, alterar, excluir e consultar estruturas de tabelas

Introdução 20 Diagramas de fluxos de dados 20 O processo de elaboração de DFD 22 Regras práticas para a elaboração de DFD 24 Dicionário de dados 26

Fernando Freitas Costa. Pós-Graduando em Gestão e Docência Universitária. blog.fimes.edu.br/fernando nando@fimes.edu.br

JDBC. Prof. Márcio Bueno

13 Conectando PHP com MySQL 13.1 Introdução

Trabalhando com conexão ao banco de dados MySQL no Lazarus. Prof. Vitor H. Migoto de Gouvêa Colégio IDESA 2011

BANCO DE DADOS WEB. Professor Luciano Roberto Rocha

BD SQL Server. Licenciatura em Engenharia Informática e Computação. Bases de Dados 2003/04

Introdução à Banco de Dados. Nathalia Sautchuk Patrício

IEC Banco de Dados I Aula 11 Técnicas de Programação SQL

PHP. SQL / MySQL Ligação a base de dados Selecção e visualização de registos Adicionar, Eliminar, Pesquisar e Editar registos

MySQL. Prof. César Melo. com a ajuda de vários

Banco de Dados. Banco de Dados Parte 2. Alcides Pamplona Alcides Pamplona Linguagem de Programação CESBD 2010

PHP (Seções, Cookies e Banco de Dados)

Manipulação de Banco de Dados com Java. Ms. Bruno Crestani Calegaro Maio/ 2015

PostgreSQL. André Luiz Fortunato da Silva Analista de Sistemas CIRP / USP alf@cirp.usp.br

Programação WEB (JSP + Banco Dados) Eng. Computação Prof. Rodrigo Rocha

AULA APLICAÇÕES PARA WEB SESSÕES E LOGIN E SENHA


TECNOLOGIA EM SISTEMAS PARA INTERNET PROJETO DE BANCO DE DADOS

Os dados no MySQL são armazenado em tabelas. Uma tabela é uma colecção de informação relacionada e consiste em colunas e linhas.

Faculdade Pitágoras 16/08/2011. Curso Superior de Tecnologia: Banco de Dados Sistemas para Internet

DDL DML DCL DTL Tipos Numéricos: INT FLOAT DOUBLE Tipos String: CHAR VARCHAR BINARY BLOB TEXT Tipos Data e Hora: DATE TIME TIMESTAMP YEAR

Faculdade Pitágoras. Curso Superior de Tecnologia: Banco de Dados. Disciplina: Banco de Dados Prof.: Fernando Hadad Zaidan SQL

Os comandos SQL utilizados nas aulas práticas e mostrados aqui foram feitos num interpretador de comandos: psql

Desenvolvendo Websites com PHP

PCS3413. Engenharia de So-ware e Banco de Dados. Aula 20. Escola Politécnica da Universidade de São Paulo

BANCO DE DADOS II Prof. Ricardo Rodrigues Barcelar

Tarefa Orientada 17 Scripts

trigger insert, delete, update

Desenvolvimento Web com Struts

AULA 8 CRIANDO UMA CLASSE EM PHP INTERAGINDO COM BANCO DE DADOS - COM RELACIONAMENTO ENTRE TABELAS

Armazenamento organizado facilitando SCRUD; Agiliza processo de desenvolvimento de sistemas;

Estruturas de Controle em c#

LAB 5 Formulários com PHP

Programação Web Professor Nícolas Trigo 1 PHP

MYSQL - PRIMEIROS COMANDOS CRIAÇÃCO DO BD E DAS TABELAS, INSERÇÃO E CONSULTA DE REGISTROS. create database [if not exists] <nome>

A U L A 1 0 C R I A N D O V I E W S V I E W S ( V I S Õ E S )

Treinamento PostgreSQL - Aula 02

SQL Structured Query Language

AJAX. Prof. Marcos Alexandruk

Transcrição:

Universidade Federal de Uberlândia Faculdade de Computação Programação para Internet Curso de Sistemas de Informação Prof. Dr. Daniel A. Furtado Módulo 8 Web Dinâmica com PHP e MySQL

Dependendo da versão do PHP são disponibilizadas duas ou três APIs (módulos ou extensões) para comunicação com o MySQL: MySQL Extension (obsoleta, retirada do PHP 7) Suportada apenas por versões anteriores do PHP. Não utilize para novos projetos! MySQLi Extension (MySQL Improved) Provê acesso às funcionalidades do MySQL 4.1 e superior Disponibiliza uma coleção de métodos para comunicação especificamente com o MySQL PHP Data Objects (PDO) Extension PHP e MySQL Provê uma interface única e consistente para acessar diversos SGBDs (MySQL, PostgreSQL, Oracle, Firebird, etc) ; PDO suporta 12 sistemas de gerenciamento de banco de dados 2

MySQLi vs PDO Ambas as tecnologias: Possuem interface de comunicação orientada a objetos; Suportam prepared statements. Prepared Statements protegem contra SQL injection, e são muito importantes para a segurança da aplicação; Suportam o conceito de transações. PDO Possui a vantagem de utilizar basicamente a mesma sintaxe para comunicação com os diversos SGBDs suportados; Assim, caso seja necessário adaptar o projeto para utilizar um SGBD diferente, a alteração é mais rápida. Com MySQLi pode ser necessário reescrever uma parte considerável do código; MySQLi Possui a vantagem de ser otimizado especificamente para o MySQL, oferecendo um melhor desempenho quando comparado ao PDO. 3

4 PHP e Bancos de Dados O acesso a bancos de dados utilizando o PHP geralmente envolve três etapas: 1. Conexão com o servidor de banco de dados utilizando um nome de usuário e uma senha (e seleção de um banco de dados); 2. Execução das operações de dados necessárias, como inserções, atualizações e consultas no banco de dados; Para o caso de uma operação de consulta, deve-se processar os resultados. 3. Encerramento da conexão.

Acessando o MySQL com MySQLi 1. Conexão com o servidor de banco de dados MySQL <?php $servidor = "localhost"; $usuario = "usuario"; $senha = "senha"; $nomebd = "nomebancodedados"; // Inicia uma nova conexão com o servidor MySQL. // Em caso de sucesso na conexão, a variável $conn será // ser utilizada posteriormente para manipulação do banco // de dados através dessa conexão $conn = new mysqli($servidor, $usuario, $senha, $nomebd); // Verifica se ocorreu alguma falha durante a conexão if ($conn->connect_error) die("falha na conexão com o MySQL: ". $conn->connect_error); else echo "Conectado ao MySQL";?> 5

Acessando o MySQL com MySQLi 2. Execução das operações de dados necessárias utilizando SQL <?php // Define o código SQL referente à operação // a ser executada $sql = "SELECT * FROM..." ou "INSERT INTO...", etc. // Executa a operação e verifica se // ocorreu alguma falha $resultado = $conn->query($sql) if ($resultado) echo "Operacao realizada com sucesso!"; else echo "Erro ao executar: ". $conn->error;?> O método query retorna: - FALSE, caso ocorra algum erro na operação; - TRUE, no caso de sucesso em operações que não retornam um resultado (como INSERT e UPDATE); - Ou um objeto que dá acesso ao resultado da operação (caso da operação SELECT, por exemplo) 6

Acessando o MySQL com MySQLi 2.1. Processando os resultados de consultas <?php // Verifica se a consulta retornou algum resultado if ($resultado->num_rows > 0) { } // Navega pelo resultado da consulta, linha a linha. // O metodo fetch_assoc constroi um array associativo // para a linha corrente do resultado. while ($row = $resultado->fetch_assoc()) { } else?> // processar cada linha do resultado // echo $row["nomecoluna"]... echo "Nenhum dado encontrado..."; Nota: No lugar de fetch_assoc, também é possível utilizar fetch_row. Neste caso, um array convencional é retornado e os campos individuais da tupla podem ser acessados por um índice: $row[0], $row[1], etc. 7

Acessando o MySQL com MySQLi 3. Encerrando a conexão com o servidor do MySQL <?php // Encerra a conexao com o MySQL $conn->close();?> 8

Acessando o MySQL com MySQLi Alguns cuidados que devem ser tomados ao executar operações SQL com PHP: A declaração SQL deve ser criada como uma string, entre aspas; Strings dentro da declaração SQL devem aparecer entre aspas simples; Não utilize aspas para valores numéricos; Não utilize aspas para a palavra NULL; Strings contendo datas devem aparecer entre aspas; 9

Acessando o MySQL com MySQLi - Exemplo <?php // Dados de conexão com o MySQL $servername = "localhost"; $username = "username"; $password = "password"; $dbname = "mydb"; // Cria uma conexão com o MySQL $conn = new mysqli($servername, $username, $password, $dbname); if ($conn->connect_error) die("connection failed: ". $conn->connect_error); // Define a operação SQL que deve ser executada $sql = " INSERT INTO Cliente(Nome, Email, Idade) VALUES ('Paulo', 'paulo@mail.com', 20) "; // Executa a operação if ($conn->query($sql) echo "Dados inseridos com sucesso!"; else echo "Erro na operação: ". $sql. "<br>". $conn->error; // Encerra a conexão com o MySQL $conn->close();?>

Acessando o MySQL com PDO - Exemplo <?php // Dados de conexão com o MySQL $servername = "localhost"; $username = "username"; $password = "password"; $dbname = "mydb"; try { // Estabelece a conexão com o MySQL e // define o modo de tratamento de erros do PDO para lançar exceções $conn = new PDO("mysql:host=$servername;dbname=$dbname", $username, $password); $conn->setattribute(pdo::attr_errmode, PDO::ERRMODE_EXCEPTION); // Define a operação SQL que deve ser executada $sql = " INSERT INTO Cliente(Nome, Email, Idade) VALUES ('Paulo', 'paulo@mail.com', 20) "; // Executa a operação SQL com exec() $conn->exec($sql); echo "Operação realizada com sucesso"; } catch (PDOException $e) { echo "A operação não pode ser executada: ". $e->getmessage(); } $conn = null;?>

Dados de Conexão em Arquivo Separado Quando vários arquivos PHP acessam o banco de dados, pode-se colocar os dados de conexão separadamente em outro arquivo PHP e fazer inclusão do mesmo utilizando a declaração include ou require. <?php // arquivo conexaomysql.php define("host", "IP FORNECIDO PELO PROFESSOR"); define("user", "ppi"); define("password", "ppi"); define("database", "ppi"); function conectaaomysql() { $conn = new mysqli(host, USER, PASSWORD, DATABASE); if ($conn->connect_error) throw new Exception('Falha na conexão com o MySQL: '. $conn->connect_error); } return $conn;?> <?php?> require "conexaomysql.php"; $conn = conectaaomysql(); 12

Acessando o MySQL com MySQLi Testar e analisar os arquivos anexos (veja os passos no próximo slide): conexaomysql.php ex01-cadastracliente.php ex01-cliente.php ex01-mostraclientes.php ex01-menu.php

14 Exercício 1 1. Acesse o banco de dados remoto utilizando o MySQL Workbench e os dados de conexão fornecidos pelo professor; 2. Crie uma tabela de nome Cliente contendo os seguintes campos: Id (inteiro, chave primária, auto_increment) Nome (string) Email (string) EstadoCivil (string) DiaNascimento (inteiro) 3. Acesse os anexos desta aula e altere o arquivo conexaomysql.php de acordo com os seus dados de conexão; 4. Utilize o WinSCP para copiar os arquivos PHP listados no slide anterior para o servidor; 5. Acesse o arquivos utilizando um navegador de Internet.

Exercício 2 1. Crie um banco de dados no servidor awardspace.com (veja as dicas nos próximos slides) utilizando sua conta criada previamente; 2. Crie uma tabela Aluno (matricula, nome, sexo) nesse banco de dados; 3. Crie um script novoaluno.php para apresentar um formulário de cadastro de aluno e realizar a devida inserção dos dados na tabela Aluno; 4. Crie um script PHP para listar os dados dos alunos cadastrados em uma tabela (mostraalunos.php) (Crie uma função para buscar os dados na tabela e montar um array de objetos. Em seguida, monte a tabela HTML utilizando os dados desse array). 15

Criando de um Banco de Dados de Teste no awardspace.com Utilizando o phpmyadmin

Criando um Banco de Dados no Awardspace.com Faça login e acesse MySQL Databases 17

Criando um Banco de Dados no Awardspace.com Forneça um nome para o BD e uma senha de acesso: O nome do banco e a senha serão necessários no momento da conexão com o banco utilizando o PHP 18

Criando um Banco de Dados no Awardspace.com Confira os detalhes do banco de dados criado; Esses dados serão necessários para realizar a conexão utilizando os scripts PHP; Nome do banco de dados Usuário do MySQL End. do servidor do MySQL 19

Criando um Banco de Dados no Awardspace.com Para manipular o banco de dados utilizando diretamente um programa navegador como o Google Chrome, acesse o phpmyadmin Clique em phpmyadmin4 para acessar o banco de dados a partir do navegador (para criação de tabelas, realizar testes, etc.) 20

Criando um Banco de Dados no Awardspace.com 1. Clique aqui para ativar o banco de dados 2. Coloque o código SQL aqui 21

Passando argumentos pela URL - Exemplo... $sql = "SELECT cpf, nome FROM Cliente"; $resultado = $conn->query($sql); if ($resultado->num_rows > 0) { echo " <h1>clientes Cadastrados</h1> <table> <thead><th>cpf</th><th>nome</th><th></th></thead>"; while ($row = $resultado->fetch_assoc()) { $cpf = $row["cpf"]; $nome = $row["nome"]; echo " <tr> <td>$cpf</td><td>$nome</td> <td><a href=modificacliente.php?cpf=$cpf>modificar</a></td> <tr> "; } }...

Inicializando Campos de Formulário para Edição - Exemplo <?php $cpf = $_GET['cpf']; $sql = "SELECT nome, nrofilhos FROM Cliente WHERE cpf = '$cpf'"; $resultado = $conn->query($sql);?> $row = $resultado->fetch_assoc(); $nome = $row["nome"]; $nrofilhos = $row["nrofilhos"]; <!DOCTYPE html> <html> <body> <form> Nome: <input type="text" name="nome" value="<?php echo $nome;?>"> Filhos: <input type="text" name="filhos" value="<?php echo $nrofilhos;?>"> </form> </body> </html>

PHP, MySQL e Transações

Transações no MySQL - Introdução No contexto de banco de dados, uma transação é basicamente uma sequência de operações que devem ser executadas na totalidade: não se permite a execução parcial de tais operações (executa-se todas elas ou nenhuma). Uma transação deve ter um início e um fim; Assim, se ocorrer uma falha no meio de uma transação, deve haver um mecanismo para desfazer as operações que já tenham sido executadas do início até o ponto da falha; A operação commit é normalmente utilizada no final da transação para efetivar todas as operações efetuadas; A operação rollback desfaz as operações da transação já efetuadas, voltando o banco de dados para o estado anterior ao início da transação. 25

26 Transações no MySQL - Introdução Por exemplo, o conceito de transação poderia ser utilizado para inserir dados correlacionados no banco de dados; Em um cadastro de cliente, por exemplo, pode ser necessário inserir os dados pessoais do cliente em uma tabela do banco de dados e o seu endereço, em outra tabela. Neste caso, utilizando o conceito de transação, podemos garantir que o cadastro seja sempre realizado na totalidade (ou a inserção é realizada nas duas tabelas, ou em nenhuma).

Exemplo de Transação no MySQL (relacionamento 1-N) CREATE TABLE Cliente ( codigo int PRIMARY KEY auto_increment, nome varchar(50) ); CREATE TABLE Endereco ( rua varchar(30), numero int, codcliente int, FOREIGN KEY (codcliente) REFERENCES Cliente(codigo) ); begin; /* inicio da transação */ INSERT INTO Cliente VALUES (null, 'Fulano'); INSERT INTO Endereco VALUES ('Rua tal', 100, LAST_INSERT_ID()); /* LAST_INSERT_ID é uma função do MySQL que retorna o último ID inserido para um campo do tipo 'auto_increment' */ commit; /* efetiva todas as operações da transação */ 27

Exemplo de Transação no PHP com MySQLi... try { // inicio da transacao $conn->begin_transaction(); if (! $conn->query("insert into Cliente values (null, 'Beltrano')")) throw new Exception('Erro ao inserir na tabela cliente'); if (! $conn->query("insert into Endereco values ('Rua Abc', 100, LAST_INSERT_ID())")) throw new Exception('Erro ao inserir na tabela Endereco'); // se nenhuma excecao foi lancada, efetiva as operacoes $conn->commit(); echo "Transacao executada com sucesso"; } catch (Exception $e) { // desfaz as operacoes caso algum erro tenha ocorrido (e uma exceção lançada) $conn->rollback(); } echo "Ocorreu um erro na transacao: ". $e->getmessage();... 28

Aspectos de Segurança

SQL Injection Técnica que usuários maliciosos utilizam para injetar código SQL dentro de uma instrução SQL lícita, utilizando campos de formulário Web, a URL, ou outros meios de entrada; Pode comprometer a segurança da aplicação Web; Pode possibilitar que operações de consultas, atualizações e exclusões, sem autorização, sejam realizadas no banco de dados. 30

Exemplo de SQL Injection Expressão 1=1 Considere o formulário HTML a seguir e o respectivo código PHP. Eles poderiam ser utilizados, eventualmente, para buscar um cliente no banco de dados a partir do seu código; Formulário HTML <form action="buscacliente.php" method="post"> <input type="text" name="codcliente">... Código no script buscacliente.php $codcliente = $_POST["codCliente"]; SQL = "select * from Cliente where codigo = $codcliente"; Continuação no próximo slide... 31

32 Exemplo de SQL Injection Expressão 1=1 O que aconteceria se um usuário mal intencionado informasse um código de cliente qualquer seguido da expressão or 1=1? Se nenhum tratamento do dado for feito, o código em buscacliente.php: $SQL = "select * from Cliente where codigo = $codcliente"; será avaliado como: $SQL = "select * from Cliente where codigo = 100 or 1=1"; Observe que a expressão SQL acima continua sendo válida, porém o acréscimo de or 1=1 faz com que a condição de seleção na cláusula where seja sempre verdadeira. Logo, a consulta retornaria os dados de TODOS os clientes cadastrados na tabela (e não de um cliente específico).

Exemplo de SQL Injection Expressão 1=1 Exercício. Testar o caso de SQL Injection ilustrado anteriormente. 1. Crie uma tabela no servidor contendo dois campos: (codcliente (int) e nomecliente (varchar(50)); 2. Utilize a SQL para inserir três registros na tabela; 3. Crie o formulário HTML; 4. Crie um script em PHP que receba os dados do formulário e faça a devida consulta no banco de dados. O script deve montar uma página HTML e exibir os dados retornados pela consulta (considere a possibilidade de ter mais de uma linha no resultado). 33

Exemplo de SQL Injection Expressão''='' Considere o formulário HTML a seguir e o respectivo código PHP. Eles poderiam ser utilizados, eventualmente, para realizar a autenticação dos usuários que terão acesso a um sistema; Formulário <form action="login.php" method="post"> <input type="text" name="usuario"> <input type="password" name="senha">... Código no script login.php $usuario = $_POST["usuario"]; $senha = $_POST["senha"]; // Verifica se usuario e a respectiva senha existem no banco de dados $sql = "SELECT * FROM Usuarios WHERE username = '$usuario' AND password = '$senha'"; Continuação no próximo slide... 34

Exemplo de SQL Injection Expressão''='' O que aconteceria se um usuário mal intencionado informasse um nome de usuário qualquer e uma senha qualquer, ambos seguidos da expressão ' or ''='? Exemplo de SQL Injection Assim, o código no script login.php: $usuario = $_POST["user"]; $senha = $_POST["password"]; $sql = "SELECT * FROM Usuarios WHERE username = '$usuario' AND password = '$senha'"; seria avaliado pelo PHP como: $sql = "SELECT * FROM Usuarios WHERE username = 'tolo' or ''='' AND password = 'tolo' or ''='' "; 35

Exemplo de SQL Injection Expressão''='' Exercício. Testar o caso de SQL Injection ilustrado anteriormente: 1. Crie uma tabela no BD de nome Usuario contendo dois campos: (username, do tipo varchar(50); e password, do tipo char(8)); 2. Utilize a SQL para alguns registros na tabela; 3. Crie o formulário HTML apresentado no slide anterior; 4. Crie um script em PHP que receba os dados do formulário e faça a autenticação utilizando os dados disponíveis na tabela Usuarios. O script deve mostrar a mensagem Login efetuado com sucesso!, caso os dados existam na tabela; ou a mensagem Dados inválidos, caso contrário; 5. Experimente inserir os dados ilustrados no slide anterior para confirmar o resultado da SQL Injection. 36

37 SQL Injection Múltiplos comandos SQL No formulário a seguir, o que aconteceria se um usuário mal intencionado informasse um código qualquer para o cliente seguido da expressão DELETE FROM CLIENTE? Exemplo de SQL Injection: Possível código PHP que resultaria na exclusão não planejada de todos os clientes $codcliente = $_POST["codCliente"]; $sql = "SELECT * FROM Cliente WHERE codigo = $codcliente"; $resultado = $conn->multi_query($sql); if (!$resultado) die("ocorreu um erro ao executar a consulta: ". $sql. $conn->error);

38 Evitando SQL Injection Recomenda-se o préprocessamento (validação) dos dados preenchidos em campos de formulário (ou da URL) para evitar ataques de SQL Injection; A função PHP htmlspecialchar, por exemplo, remove alguns caracteres especiais da string, como aspas, trocando tais caracteres pelos códigos correspondentes do HTML; <?php function filtraentrada($dado) { // remove espaços no inicio e // no final da string $dado = trim($dado); } // remove contra barras: // "cobra d\'agua" vira "cobra d'agua" $dado = stripslashes($dado); $dado = htmlspecialchars($dado); return $dado; $nome = filtraentrada($_post["nome"]); $codigo = filtraentrada($_get["codigo"]);...?>

39 Evitando SQL Injection Além de realizar uma validação dos dados vindos de campos de formulários ou da URL, também é recomendado não inserir o nome de variáveis PHP diretamente na string SQL; Ao invés disso, utilize o conceito de prepared statements (apresentado a seguir).

40 Evitando SQL Injection com Prepared Statements Prepared Statement (declaração preparada) é um recurso que permite executar uma mesma instrução SQL repetidas vezes, com maior eficiência e de maneira mais segura. Principais Vantagens: Maior segurança contra ataques do tipo SQL Injection. Pode reduzir o tempo de execução de múltiplas consultas SQL no servidor, uma vez que sua preparação pode ser realizada uma única vez (embora a consulta possa ser executada repetidas vezes); Pode reduzir o tráfego de dados com o servidor, uma vez que a instrução SQL não precisa ser reenviada por inteira repetidas vezes;

41 Evitando SQL Injection com Prepared Statements Funcionamento básico: Preparação: Um template SQL é criado e enviado ao SGBD. Porém, determinado valores são deixados em aberto (denominados parâmetros). Exemplo: INSERT INTO Clientes VALUES (?,?,?) O SGBD pré-processa a declaração SQL (faz checagem da sintaxe, entre outros), mas não a executa; Execução: mais tarde, a aplicação fornece valores aos parâmetros e executa a declaração;

42 Evitando SQL Injection com Prepared Statements Exemplo 1: Operação de consulta utilizando prepared statements com MySQLi // prepara a declaração SQL (stmt é um abreviação de statement) $stmt = $conn->prepare("select * FROM Cliente WHERE codigo =? "); // Faz a ligação dos parâmetros em aberto com os valores. // i para var. inteira, s para string, d para double // Ex. para vários: $stmt->bind_param("iss", $codigo, $nome, $email); $stmt->bind_param("i", $codcliente); // Executa a declaração SQL previamente preparada $stmt->execute(); // Indica as variáveis PHP que receberão os resultados $stmt->bind_result($cod, $nome); // Navega pelas linhas do resultado while ($stmt->fetch()) { echo $cod, $nome; }

Evitando SQL Injection com Prepared Statements Exemplo 2: Operação de inserção utilizando prepared statements com MySQLi // Estágio 1: Preparação $stmt = $mysqli->prepare("insert INTO Teste(id) VALUES (?)"); // Estágio 2: Associação dos parâmetros (bind) $id = 1; $stmt->bind_param("i", $id); // Estágio 3: execução $stmt->execute(); // Execução repetida: somente os dados são transferidos // do cliente para o servidor for ($id = 2; $id < 100; $id++) { // Insere na tabela o valor corrente da variável $id if (!$stmt->execute()) echo "Falha: (". $stmt->errno. ") ". $stmt->error; }

44 Resumo das Principais Operações Utilizando o MySQLi Estabelece uma conexão com o MySQL $conn = new mysqli(servername, username, password, dbname); Verifica a ocorrência de um eventual erro durante a conexão $conn->connect_error Executa um comando SQL (insert, update, select, etc.) $resultado = $conn->query($sql) Retorna o número de linhas do resultado $resultado->num_rows Resgata a próxima linha do resultado na forma de um array associativo $row = $resultado->fetch_assoc() Encerra a conexão com o servidor do MySQL $conn->close() Prepara uma declaração SQL $stmt = $conn->prepare("sql") Faz a associação dos parâmetros com as variáveis $stmt->bind_param Faz a indicação das variáveis que receberão os resultados de uma consulta $stmt->bind_result Executa a declaração previamente preparada $stmt->execute()

45 Registro de Domínio br.godaddy.com www.ehost.com www.web.com

www.w3schools.com www.mysql.com www.php.net phpbestpractices.org Referências 46

2024 © DocPlayer.com.br Política de Privacidade | Termos de serviço | Feedback